VLAN Switch와 연결된 모든 장비들은 하나의 Broadcast Domain에 포함 연결된 장비가 많아질 수록 Broadcast의 발생이 많아지기 때문에 Router를 사용해 물리적으로 Network 영역을 구분. 하지만 Router를 사용해 물리적으로 Network 영역을 구분하는 대신 VLAN 기술을 사용하면 논리적으로 Network (즉, Broadcast Domain)를 나눌 수 있다. 즉, 하나의 Switch에 연결된 장비들의 Network(Broadcast Domain)를 나눌 수 있다.  VLAN은 포트별로 구분한다. VLAN_A  Fa0/1, Fa0/2 VLAN_B  Fa0/3, Fa0/4 VLAN_C  Fa0/5, Fa0/6 * VLAN 설정을 하기 전에 모든 포트들은 default VLAN인 VLAN 1에 속해 있다. 서로 다른 VLAN에 속한 장비들은 Router 혹은 L3 Switch 같은 Layer 3 장비를 통해야만 서로 통신이 가능.

VLAN <VLAN의 장점> VLAN을 사용하면 Network의 보안성 강화된다.  장비들을 서로 다른 VLAN으로 구분했을 경우 Router를 통해야만 통신이 이뤄지기 때문에 Router에 다양한 보안 정책을 적용해서 보안성을 강화시킬 수 있다. VLAN을 사용하면 Switch Network에서 Load balancing이 가능.  VLAN을 사용하지 않으면 STP에 의해서 이중화 된 구간 중 한 Port가 차단되고 하나의 경로로만 통신이 이뤄진다.  VLAN을 사용할 경우 이중화 된 구간의 경로별로 VLAN을 구분하면 Load balancing이 가능.

VLAN <VLAN의 번호> VLAN 번호 Range Usage VLAN은 서로 번호(ID)로 구분. Reserved System Use only 1 Normal Default(기본 설정) VLAN 2 – 1001 Ethernet에서 사용 할 수 있는 번호 1002 – 1005 Token ring과 FDDI용으로 사용 1006 – 4094 Extended Extended(확장) VLAN 번호 4095

VLAN <VLAN 생성> 1) Config-VLAN 2) VLAN Database에서 생성 * VLAN 삭제는 'no vlan' 명령어로 삭제한다. 2) VLAN Database에서 생성 SW#vlan database SW(vlan)#vlan 20 name VLAN_Yellow VLAN 20 added: Name: VLAN_Yellow SW(vlan)#exit //exit 명령어를 사용. ctrl + z로 나올 경우 APPLY completed. vlan 설정이 변경되지 않으니 주의!! Exiting.... SwitchX(config)#vlan 10 //Vlan 10을 생성 SwitchX(config-vlan)#name VLAN_Red //vlan 10에 VLAN_Red라는 이름 정의 SwitchX(config)#no vlan 10 //Vlan 10을 삭제

VLAN <VLAN Port 종류> S/W 1 1) Access Port - 하나의 Port가 하나의 VLAN에 속하는 경우. - 즉, 해당 포트는 자신이 속한 VLAN 네트워크 Frame만을 전송할 수 있다. VLAN 10 (VLAN_Red) S/W 1 VLAN 20 (VLAN_Yellow) VLAN 30 (VLAN_Green)

VLAN Access Port 설정 - 각 Interface를 생성한 VLAN에 할당. L3장비를 거치지 않을 경우 같은 VLAN에 할당된 Interface에 접속된 장비들끼리만 통신이 가능. SW(config)#interface fastethernet 0/1 //생성한 VLAN에 소속될 인터페이스에서 설정 SW(config-if)#switchport mode access //현재의 인터페이스를 access port로 설정 SW(config-if)#switchport access vlan 10 //포트가 소속될 VLAN번호를 지정 SW(config)#interface fastethernet 0/2 //생성한 VLAN에 소속될 인터페이스에서 설정 SW(config-if)#switchport access vlan 20 //포트가 소속될 VLAN 번호를 지정 설정 후 show vlan brief 명령어로 생성한 VLAN과 VLAN별로 소속된 Interface들을 확인 가능.

VLAN <VLAN Port 종류> 2) Trunk Port - 하나의 Port에 여러 개의 VLAN Frame이 흘러다닐 수 있도록 하는 경우. - Switch와 Switch가 하나의 port로 연결돼 있는 경우 해당 port에 Switch에 설정된 여러 개의 VLAN Frame이 모두 흘러다녀야 두 대의 Switch에 설정된 각 VLAN별로 통신이 가능 . - 즉, 다수의 같은 VLAN이 여러개의 Switch에 존재할 경우 trunk port를 통해 각 Switch에 연결된 같은 VLAN에 속한 장비끼리 서로 통신이 가능. - 이러한 통신은 같은 VLAN에 연결된 장비들 사이에만 통신만 가능하다. 서로 다른 VLAN에 속한 장비는 L3장비(ex. Router)를 통해야만 통신이 가능하다.

VLAN 2) Trunk Port S/W 1 S/W 2 Access port로 설정할 경우 하나의 VLAN만이 흘러다닐 수 있다. S/W 1 S/W 2

VLAN 2) Trunk Port Trunk Port S/W 1 S/W 2

VLAN 2) Trunk Port - Trunking이란 여러개의 VLAN을 실어나르는 것. - Switch에 다수의 VLAN이 존재할 경우 각 VLAN별로 각각의 Link를 만들어 주어야 하지만 그럴 경우 너무 많은 Link가 필요. 때문에 하나의 Link에 여러 개의 VLAN이 흘러다닐 수 있도록 Trunking을 구성. - 이러한 Trunking에는 ISL과 IEEE802.1Q 방식이 있다. (catalyst 2950의 경우는 IEEE802.1Q만 사용이 가능하다.) 1) ISL(Inter Switch Link)  Cisco 전용으로 Cisco 장비간에만 사용하는 방식이다.  native VLAN 사용 불가 2) IEEE802.1Q  Trunking에 대한 표준 프로토콜.  Native VLAN 사용 가능

VLAN 2) Trunk Port 설정 Switch(config)#interface fastethernet 0/10 Switch(config-if)#switchport trunk encapsulation dot1q  trunk 포트의 Encapsulation 방식 설정 (ISL or IEEE802.1Q) Switch(config-if)#switchport mode trunk  해당포트를 trunk 포트로 설정 Switch(config-if)#switchport trunk allowed vlan 10,20  trunk를 사용할 수 있는 VLAN을 지정할 수 있다. (지정하지 않을 경우에는 모든 Vlan이 Trunk를 사용할 수 있다.)  trunk port 설정은 'show interface switchport'와 'show interface trunk'에서 확인이 가능.

VTP - VLAN Trunking Protocol Switch간 VLAN정보를 서로 교환하여 Switch들이 가지고 있는 VLAN 정보를 동기화 시켜주기 위한 Protocol. - Cisco의 Protocol. - VTP를 설정하지 않으면 각각의 Switch들마다 VLAN을 구성하고 만약 VLAN에 변경이 생겼을 경우 각 Switch마다 하나씩 VLAN의 변경 내용. - 하지만 VTP를 설정했을 경우 VTP server로 설정된 스위치에 VLAN 설정을 한번만 하면 VTP server는 VTP client 스위치에게 trunk port를 사용해서 VLAN 정보를 자동으로 Update.  즉, 각 Switch마다 하나씩 VLAN 설정을 할 필요가 없다. VTP는 trunk Link를 통해서만 VLAN 정보를 전달. (다른 Link로는 VLAN 정보를 전송하지 않는다.)

VTP - VLAN Trunking Protocol

VTP - VLAN Trunking Protocol 1) VTP domain name 일치 2) Switch간의 Trunk완성 3) VTP password 일치 Create VLANs Modify VLANs Delete VLANs Sends and forwards advertisements Synchronizes Create local VLANs only Modify local VLANs only Delete local VLANs only Forwards advertisements Does not synchronize Cannot create, change, or delete VLANs Sends and forwards advertisements Synchronizes

VTP - VLAN Trunking Protocol <VTP mode> 1) VTP server mode  VLAN을 생성하고 삭제, 수정할 수 있는 모드 . 또한 같은 VTP domain 안에 있는 나머지 스위치들에게 VTP domain name과 VLAN 구성, Configuration Revision number를 Update 해주는 역할을 수행 . VTP server는 VTP domain 내의 모든 VLAN 정보를 NVRAM에서 관리. 2) VTP client mode  VLAN을 생성, 삭제, 수정하는 작업은 불가능한 모드. VTP server가 전달해준 VLAN 정보를 수신하고, 수신한 정보를 자기와 연결된 다른 쪽 스위치에 전달하는 것만 가능. VTP client는 VLAN 정보를 NVRAM에 저장하지 않는다.

VTP - VLAN Trunking Protocol <VTP mode> 3) VTP transparent mode  VTP domain 내부에 있지만 VTP server로부터 메시지를 받아 자신의 VLAN 정보를 Update 하지 않고 자신의 VLAN 정보를 다른 스위치에게 전달하지 않는다. 스스로 VLAN을 생성, 삭제, 수정할 수 있으며 이러한 VLAN 정보를 다른 스위치에게 전송하지 않는다. 하지만 VTP server에게 수신받은 메시지를 자신과 연결된 다른 Switch쪽으로 전달 하는 역할과 자신과 연결된 다른 Switch쪽에서 server쪽으로 가는 VTP 메시지를 전달해주는 역할을 한다. (중계역할) 즉, 다른 Switch의 VTP 메시지를 전달만 해주고 본인은 관여하지 않는다. (Transparent라는 단어처럼 투명한 모드의 Switch) 자신의 VLAN 정보를 NVRAM에 저장.

VTP - VLAN Trunking Protocol <VTP Operation> VTP servers and clients are synchronized to the latest revision number. VTP advertisements are sent every 5 minutes or when there is a change.

VTP - VLAN Trunking Protocol <VTP Configuration Steps> Enable VTP (optional) Enable trunking Create VLANs Assign VLAN to ports

VTP - VLAN Trunking Protocol SwitchX# configure terminal SwitchX(config)# vtp mode [ server | client | transparent ] SwitchX(config)# vtp domain domain-name SwitchX(config)# vtp password password SwitchX(config)# vtp pruning SwitchX(config)# end SwitchX# show vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 64 Number of existing VLANs : 17 VTP Operating Mode : Transparent VTP Domain Name : ICND VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x7D 0x6E 0x5E 0x3D 0xAF 0xA0 0x2F 0xAA Configuration last modified by 10.1.1.4 at 3-3-93 20:08:05

Inter VLAN <Inter VLAN> Network layer devices combine multiple broadcast domains.

Inter VLAN <Inter VLAN>

Inter VLAN <Inter VLAN> Physical interfaces can be divided into multiple subinterfaces.

Inter VLAN Router(config)#interface fastethernet 0/1 Router(config-if)#no shutdown  물리적 인터페이스에서 no shutdown 명령어를 사용한다. Router(config-if)#exit Router(config)#interface fastethernet 0/1.1  서브 인터페이스 생성 Router(config-if)#encapsulation dot1q <vlan-ID>  trunk 방식(isl, IEEE802.1q)을 스위치와 맞주고 해당 서브 인터페이스로 흘러갈 VLAN 지정 Router(config-if)#ip address <ip address> <Subnet mask> Router(config)#exit Router(config)#interface fastethernet 0/1.2 Router(config-if)# ip address <ip address> <Subnet mask>

CDP – Cisco Discovery Protocol - CDP (Cisco Discovery Protocol)는 Layer 2 Protocol - Cisco 전용 프로토콜로 인접한 이웃장비에 대한 정보를 얻는데 사용. - CDP가 enable된 장비는 Advertisement 메시지를 주기적으로 보냄. - Update time : 60초  60초마다 주기적으로 CDP 정보를 전송 ('SW1(config)#cdp timer <time>' 명령어로 변경 가능) - Hold time : 180초  hold time안에 CDP 정보가 오지 않으면 해당 정보를 삭제. ('SW1(config)#cdp hold time <time>' 명령어로 변경 가능) - CDP는 Layer 2 Protocol  Layer 2까지만 형성이 되어 있다면 내 장비의 정보를 물리적으로 연결된 이웃에게 전송 . * 보안에 단점이 있다. 막아야 좋다  global config 모드에서 ‘no cdp run’ 명령어로 가능.

CDP – Cisco Discovery Protocol - 확인 명령어 : show cdp neighbor show cdp entry * R1#show cdp neighbor Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 0/0 149 R C2600 Ser 0/1 1 2 3 4 5 6 1 : 인접한 장비의 hostname 2 : 인접한 장비와 연결된 자신의 인터페이스 3 : hold time (이 시간이 0이 될때까지 CDP 정보를 수신하지 못하면 해당 정보를 삭제한다.) 4 : 인접 장비의 종류 표시 (R:라우터, S:스위치) 5 : 인접 장비의 모델 표시 6 : 자신과 연결된 인접 장비의 인터페이스

CDP – Cisco Discovery Protocol R1#sh cdp entry * Device ID: R2 Entry address(es): IP address : 210.1.1.2  상대방 장비의 IP를 알 수 있다. Platform: cisco C2600, Capabilities: Router  상대방 장비의 정보와 종류 Interface: Serial0/0, Port ID (outgoing port): Serial0/1  나의 인터페이스와 상대방 인터페이스 (outgoing port) Holdtime: 135 Version : Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by cisco Systems, Inc. Compiled Wed 27-Apr-04 19:01 by miwang advertisement version: 2 Duplex: full